hvorfor kæmper professionelle cybersikkerhedseksperter stadig med overholdelsesbanneret

Hvorfor kæmper cybersikkerhedseksperter med overholdelse?

Overholdelse af lovgivning er en voksende prioritet for cybersikkerhedsteams, da de står over for stigende cybersikkerhedsrisici, øger deres brug af teknologi og kæmper for at navigere i et hurtigt udviklende lovgivningslandskab. Manglende overholdelse af reglerne i love som UK Data Protection Act 2018 og EU AI Act betyder, at det kan føre til betydelige bøder. Men med cybersikkerhedsteams, der allerede er overbelastet og under pres fra den øverste ledelse, er det langt fra ligetil.

Det er her industristandarder kan spille en overordnet rolle i at hjælpe med at strømline lovgivningsoverholdelse.

Overholdelse er ikke let

Overholdelse er en voksende udfordring for mange cybersikkerhedsprofessionelle. I en seneste undersøgelse af 200 teknologibeslutningstagere udført af Infosecurity Europe indrømmer næsten halvdelen (44%), at de kæmper for at overholde cybersikkerhedslovgivningen, fordi den er for svær at forstå og for tidskrævende at implementere.

Den afslører, at den amerikanske Sarbanes-Oxley Act (SOX) er blandt de mest komplicerede at implementere ud af 12 eksisterende og nye regler for cybersikkerhed. Faktisk beskrev 41 % af de adspurgte det som "meget komplekst". I mellemtiden mener 75 % af cybersikkerhedsprofessionelle, at UK Data Protection Act, EU Cybersecurity Act og NIS/NIS2 er "noget komplekse" at overholde.

Andetsteds i denne undersøgelse siger 24 % af de adspurgte, at EU's Cybersecurity Act og Data Security and Protection Toolkit (DSPT) er de mest relevante regler for deres organisationer, efterfulgt af den britiske databeskyttelseslov (22 %). Alarmerende nok er kun 50 % af organisationerne fuldt ud kompatible med SOX og EU's Cybersecurity Act, hvilket illustrerer de udfordringer, som cybersikkerheds- og overholdelsesteams står over for midt i et hurtigt udviklende reguleringslandskab.

Disse problemer er også fremhævet i ISMS.online's Status for informationssikkerhed 2024 rapport, som rangerer overholdelse af regler og standarder som den næststørste udfordring, som cybersikkerhedshold står over for (33 %). I et andet nøgleresultat fra rapporten siger næsten halvdelen (46%) af de adspurgte, at overholdelse af ISO 27001 kan vare alt fra seks til 12 måneder. Yderligere 11 % ville kræve 12-18 måneder for at nå dette mål, hvilket strækker sig til over halvandet år for 5 % af de adspurgte.

Byrden vokser

En af hovedårsagerne til, at cybersikkerhedsteams finder overholdelse så svært, er den voksende skala og kompleksitet af industrireguleringer, ifølge Richard Breavington, en partner hos advokatfirmaet RPC.

"Den store mængde lovgivning, der kan påvirke organisationer, kombineret med det faktum, at de ændrer sig og bliver opdateret hurtigt, betyder, at det kan være en udfordring at sikre overholdelse," siger han til ISMS.online. "Derudover kræver disse regler forskellige tekniske og organisatoriske standarder, som ikke nødvendigvis er ensartede."

Steven Wood, direktør for løsningsrådgivning hos it-sikkerhedsfirmaet OpenText Cybersecurity, skylder denne compliance-hovedpine delvist på uautoriseret brug af forbrugerteknologi, uventede fusioner, underinvesteringer og det konstante pres for at være på forkant med konkurrenterne.

"I takt med at trusselslandskabet fortsætter med at udvikle sig, står sikkerhedsteams over for udfordringen med at sikre dynamiske it-miljøer, mens de overholder strenge overholdelseskrav," siger han til ISMS.online. "Derudover kræver nye trusler som phishing, forsyningskædeudnyttelse, insidertrusler og nul-dages sårbarheder en mangefacetteret tilgang til cybersikkerhed."

Sean Wright, applikationssikkerhedsleder hos Featurespace, antyder, at den voksende kløft i cybersikkerhedsfærdigheder – en førende udfordring identificeret af 31 % af respondenterne i ISMS.online-undersøgelsen – betyder, at mange organisationer simpelthen ikke har ressourcerne til at overholde nye og nye regler .

Han fortæller til ISMS.online, at overholdelse sjældent er en "engangs"-øvelse for virksomheder - i stedet kræver den løbende opmærksomhed fra cybersikkerhedsteams. Han tilføjer, at konstante ændringer af eksisterende love – sideløbende med indførelsen af ​​nye regler – øger byrden og arbejdsbyrden på udstrakte cybersikkerhedshold, hvilket gør det lettere for dem at gå glip af eller overse nøgledetaljer.

Strømlining af overholdelse

RPC's Breavington mener, at organisationer kunne strømline processen ved at uddelegere oprettelsen og implementeringen af ​​en "meningsfuld overholdelsesplan" til et dedikeret team af specialuddannede fagfolk.

Disse eksperter ville gå i spidsen for at identificere relevante regler, forstå de vigtigste lovkrav og sikre, at deres organisation er fuldt ud kompatibel, siger han.

"I det omfang det er muligt, er det værd at forsøge at finde konsistente tekniske standarder, der vil tillade overholdelse over hele linjen, selvom det potentielt betyder at gå ud over, hvad der er nødvendigt for nogle af reglerne," argumenterer han.

At uddanne medarbejdere i de nyeste informationssikkerheds-, social engineering- og compliance-trends kan også hjælpe organisationer med bedre at overholde cybersikkerhedsreglerne og beskytte deres omdømme, hævder OpenText Cybersecurity's Wood.

"Omfattende medarbejderuddannelsesprogrammer er afgørende for at forhindre, at menneskelige sårbarheder bliver udnyttet," siger han.

Featurespaces Wright opfordrer cybersikkerhedsteams til at implementere "robuste" og "gentagelige" processer for at opfylde løbende regulatoriske forpligtelser. Han opfordrer dem også til at automatisere "gentagelige elementer", så disse forpligtelser ikke dræner vigtige cybersikkerhedsressourcer.

Virksomheder kan øge effektiviteten af ​​deres cybersikkerhedsoverholdelsesprogrammer ved at sikre, at hvert teammedlem forstår vigtigheden af ​​disse regler, fortsætter han. Dette vil sikre overholdelse "bliver ikke bare en sikkerhedsteamindsats, men en indsats for hele virksomheden".

Vigtigheden af ​​ISO 27001

Ved at implementere en globalt anerkendt industristandard, såsom ISO 27007, kan organisationer udvikle den bedste praksis, der er nødvendig for at forbedre deres cybersikkerhedsposition og i sidste ende opfylde regulatorernes krav.

RPC's Breavington forklarer, at disse akkrediteringer er enkle at opdatere og vil demonstrere en organisations løbende forpligtelse til at overholde lovgivningen. Han foreslår, at dette er en mere effektiv tilgang end "at holde styr på de mange og potentielt mindre specifikke juridiske og regulatoriske krav".

Wright ser også værdien i at følge ISO 27007, idet han tror på, at det vil give organisationer mulighed for at forbedre kundernes tillid til deres tilgang til cybersikkerhed og compliance. Han tilføjer, at tekniske løsninger som et informationssikkerhedsstyringssystem (ISMS) ville sætte dem i stand til at strømline og opfylde nogle overholdelseskrav – og dermed "frigøre ressourcer" på tværs af udbrændte og overanstrengte cybersikkerhedsteams.

I betragtning af de potentielle økonomiske og omdømmemæssige konsekvenser, er manglende overholdelse af industriens regler ikke en mulighed. Men ved hjælp af brugerbevidsthedsprogrammer, industriens bedste praksis og de nyeste automatiserede cybersikkerhedsværktøjer er der i det mindste en måde for organisationer at reducere byrden på.

 

 

Forfatter

Nicholas Fearn

Nicholas Fearn er freelancejournalist fra de walisiske dale. Han har skrevet for store medier som Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost og Insider, samt B2B-publikationer som Computer Weekly, Computing og IT Pro. Når Nic ikke skriver om de nyeste gadgets og teknologitrends, lytter han sikkert til hele Mariah Careys diskografi.

Se alle indlæg af Nicholas Fearn

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!